このチュートリアルでは、例として DNS 認証で、グローバル Google マネージド証明書を使用する証明書のデプロイ プロセスについて説明します。
次のロードバランサは、DNS 承認を使用した Google マネージド証明書をサポートしています。
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
- グローバル外部プロキシ ネットワーク ロードバランサ
サポートされているドメインの承認のタイプの比較については、ドメインの承認をご覧ください。
既存の証明書を Certificate Manager に移行する場合は、代わりに証明書を Certificate Manager に移行するの手順に従ってください。
目標
このチュートリアルでは、次のタスクを行う方法を説明します。
- Certificate Manager を使用して、DNS 承認で公的に信頼できる認証局によって発行された Google マネージド証明書を作成します。
- ターゲット HTTPS プロキシを使用して、サポートされているロードバランサに証明書をデプロイします。
証明書のデプロイ プロセスの詳細については、デプロイの概要をご覧ください。
準備
-
Google Cloud Console の [プロジェクト セレクタ] ページで、Google Cloud プロジェクトを選択または作成します。
証明書をデプロイするには、gcloud CLI バージョン
465.0.0以降が必要です。gcloud CLI のバージョンを確認するには、次のコマンドを実行します。gcloud --versiongcloud CLI を更新するには、次のコマンドを実行します。
gcloud components updateこのチュートリアルのタスクを完了するための次のロールがあることを確認してください。
- Certificate Manager オーナー: Certificate Manager リソースの作成と管理に必要です。
- Compute ロードバランサ管理者または Compute ネットワーク管理者: HTTPS ターゲット プロキシの作成と管理に必要です。
- DNS 管理者: DNS ソリューションとして Cloud DNS を使用する場合に必要です。
詳しくは以下をご覧ください。
- Certificate Manager のロールと権限
- Compute Engine の Compute Engine の IAM ロールと権限
- Cloud DNS の IAM を使用したアクセス制御
DNS 認証を使用して Google マネージド証明書を作成する
このセクションでは、DNS 認証と、その DNS 認証を参照する Google マネージド証明書を作成します。
DNS 認証を作成する
このセクションの説明に沿って、DNS 認証を作成します。*.myorg.example.com などのワイルドカード証明書用の DNS 認証を作成する場合は、親ドメイン(myorg.example.com など)の DNS 認証を構成します。
gcloud
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
プロジェクトごとの DNS 認証(プレビュー)を使用するには、次のコマンドを実行します。
gcloud certificate-manager dns-authorizations create AUTHORIZATION_NAME \ --domain="DOMAIN_NAME" \ --type="PER_PROJECT_RECORD" gcloud certificate-manager dns-authorizations describe AUTHORIZATION_NAME
次のように置き換えます。
AUTHORIZATION_NAME: DNS 認証の名前。DOMAIN_NAME: この DNS 承認を作成するドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。
このコマンドでは、次のような出力が返されます。出力の CNAME レコードを使用して、DNS 構成に追加します。
createTime: '2022-01-14T13:35:00.258409106Z' dnsResourceRecord: data: 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. name: _acme-challenge.myorg.example.com. type: CNAME domain: myorg.example.com name: projects/myProject/locations/global/dnsAuthorizations/myAuthorization updateTime: '2022-01-14T13:35:01.571086137Z'
Terraform
DNS 認証を作成するには、google_certificate_manager_dns_authorization リソースを使用します。
Terraform 構成を適用または削除する方法については、基本的な Terraform コマンドをご覧ください。
DNS 構成に CNAME レコードを追加する
Google Cloud を使用して DNS を管理している場合は、このセクションの手順に従ってください。それ以外の場合は、サードパーティ DNS ソリューションのドキュメントをご確認ください。
このセクションの手順を行う前に、パブリック DNS ゾーンが作成されていることを確認してください。
DNS 認証を作成するとき、gcloud CLI コマンドは対応する CNAME レコードを返します。次のように、この CNAME レコードをターゲット ドメインの DNS ゾーンの DNS 構成に追加する必要があります。
gcloud
- DNS レコード トランザクションを次のように開始します。
gcloud dns record-sets transaction start --zone="DNS_ZONE_NAME"
DNS_ZONE_NAME は、ターゲット DNS ゾーンの名前に置き換えます。
- CNAME レコードをターゲット DNS ゾーンに追加します。
gcloud dns record-sets transaction add CNAME_RECORD \
--name="_acme-challenge.DOMAIN_NAME." \
--ttl="30" \
--type="CNAME" \
--zone="DNS_ZONE_NAME"
以下を置き換えます。
CNAME_RECORD: 対応する DNS 認証を作成した Google Cloud CLI コマンドによって返される CNAME レコードの完全なデータ値。DOMAIN_NAME: ターゲット ドメインの名前。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。 また、ターゲット ドメイン名の後にピリオドを含める必要があります。DNS_ZONE_NAME: ターゲット DNS ゾーンの名前。
次の例をご覧ください。
gcloud dns record-sets transaction add 0e40fc77-a37d-4eb8-8fe1-eea2e18d12d9.4.authorize.certificatemanager.goog. \
--name="_acme-challenge.myorg.example.com." \
--ttl="30" \
--type="CNAME" \
--zone="myorg-example-com"
- DNS レコード トランザクションを実行して変更を保存します。
gcloud dns record-sets transaction execute --zone="DNS_ZONE_NAME"
DNS_ZONE_NAME は、ターゲット DNS ゾーンの名前に置き換えます。
Terraform
DNS 構成に CNAME レコードを追加するには、google_dns_record_set リソースを使用します。
DNS 認証を参照する Google マネージド証明書を作成する
前の手順で作成した DNS 認証を参照する Google マネージド証明書を作成するには、次のようにします。
gcloud
グローバル外部アプリケーション ロードバランサ、従来のアプリケーション ロードバランサ、グローバル外部プロキシ ネットワーク ロードバランサの場合:
次のコマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains=DOMAIN_NAME \ --dns-authorizations=AUTHORIZATION_NAME
次のように置き換えます。
CERTIFICATE_NAME: 証明書の一意の名前。DOMAIN_NAME: 証明書のターゲット ドメイン。 ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。AUTHORIZATION_NAME: この証明書用に作成した DNS 承認の名前。
ワイルドカード ドメイン名を使用して Google マネージド証明書を作成するには、次のコマンドを使用します。ワイルドカード ドメイン名証明書は、特定のドメインのすべての第 1 レベル サブドメインに対応します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \ --domains="*.DOMAIN_NAME,DOMAIN_NAME" \ --dns-authorizations=AUTHORIZATION_NAME
次のように置き換えます。
CERTIFICATE_NAME: 証明書の一意の名前。DOMAIN_NAME: 証明書のターゲット ドメイン。アスタリスクの接頭辞(*.)はワイルドカード証明書を示します。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。AUTHORIZATION_NAME: この証明書用に作成した DNS 承認の名前。
クロスリージョン内部アプリケーション ロードバランサの場合:
次のコマンドを実行します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains=DOMAIN_NAME \
--dns-authorizations=AUTHORIZATION_NAME \
--scope=all-regions
次のように置き換えます。
CERTIFICATE_NAME: 証明書の一意の名前。DOMAIN_NAME: 証明書のターゲット ドメイン。 ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。AUTHORIZATION_NAME: この証明書用に作成した DNS 承認の名前。
ワイルドカード ドメイン名を使用して Google マネージド証明書を作成するには、次のコマンドを使用します。ワイルドカード ドメイン名証明書は、特定のドメインのすべての第 1 レベル サブドメインに対応します。
gcloud certificate-manager certificates create CERTIFICATE_NAME \
--domains="*.DOMAIN_NAME,DOMAIN_NAME" \
--dns-authorizations=AUTHORIZATION_NAME \
--scope=all-regions
次のように置き換えます。
CERTIFICATE_NAME: 証明書の一意の名前。DOMAIN_NAME: 証明書のターゲット ドメイン。アスタリスクの接頭辞(*.)はワイルドカード証明書を示します。ドメイン名は完全修飾ドメイン名(myorg.example.comなど)にする必要があります。AUTHORIZATION_NAME: この証明書用に作成した DNS 承認の名前。
Terraform
証明書が有効であることを確認する
次のコマンドを使用して、証明書をロードバランサにデプロイする前に、証明書自体が有効であることを確認します。証明書の状態が ACTIVE に変わるまで最長で数時間かかることがあります。
gcloud certificate-manager certificates describe CERTIFICATE_NAME
CERTIFICATE_NAME は、ターゲット Google マネージド証明書の名前に置き換えます。
このコマンドでは、次のような出力が返されます。
expireTime: '2022-05-07T05:03:49Z'
managed:
authorizationAttemptInfo:
- domain: myorg.example.com
state: AUTHORIZED
dnsAuthorizations:
- projects/my-project/locations/global/dnsAuthorizations/myAuth
domains:
- myorg.example.com
state: ACTIVE
name: projects/myProject/locations/global/certificates/myCert
pemCertificate: |
-----BEGIN CERTIFICATE-----
[...]
-----END CERTIFICATE-----
sanDnsnames:
- myorg.example.com
updateTime: '2021-10-20T12:19:55.083385630Z'
証明書をロードバランサにデプロイする
このセクションでは、Google マネージド証明書をロードバランサにデプロイするために必要な手順を説明します。
このセクションのタスクに進む前に、DNS 認証を使用して Google マネージド証明書を作成するに一覧表示されているタスクを完了していることを確認してください。
ロードバランサの種類に応じて、次のように証明書をデプロイできます。
- 次のロードバランサの場合、証明書マップを使用して証明書をデプロイします。
- グローバル外部アプリケーション ロードバランサ
- グローバル外部プロキシ ネットワーク ロードバランサ
- 従来のアプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサの場合は、ターゲット プロキシに直接添付して証明書をデプロイします。
証明書マップを使用して証明書をデプロイする
このセクションでは、証明書マップを使用して証明書をデプロイする手順について説明します。
証明書マップを作成する
証明書に関連付けられた証明書マップエントリを参照する証明書マップを作成します。
gcloud
gcloud certificate-manager maps create CERTIFICATE_MAP_NAME
CERTIFICATE_MAP_NAME は、ターゲット証明書マップの名前に置き換えます。
Terraform
証明書マップを作成するには、google_certificate_manager_certificate_map リソースを使用します。
証明書マップエントリを作成する
証明書マップエントリを作成し、証明書と証明書マップに関連付けます。
gcloud
gcloud certificate-manager maps entries create CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME" \ --certificates="CERTIFICATE_NAME" \ --hostname="HOSTNAME"
以下を置き換えます。
CERTIFICATE_MAP_ENTRY_NAME: 証明書マップエントリの一意の名前CERTIFICATE_MAP_NAME: この証明書マップエントリが添付されている証明書マップの名前CERTIFICATE_NAME: この証明書マップエントリに関連付ける証明書の名前HOSTNAME: この証明書マップエントリに関連付けるホスト名
Terraform
証明書マップエントリを作成するには、google_certificate_manager_certificate_map_entry リソースを使用します。
証明書マップエントリが有効であることを確認する
次のコマンドを使用して、対応する証明書マップをターゲット プロキシに添付する前に、証明書マップエントリがアクティブであることを確認します。
gcloud certificate-manager maps entries describe CERTIFICATE_MAP_ENTRY_NAME \
--map="CERTIFICATE_MAP_NAME"
以下を置き換えます。
CERTIFICATE_MAP_ENTRY_NAME: ターゲット証明書マップエントリの名前CERTIFICATE_MAP_NAME: この証明書マップエントリが添付されている証明書マップの名前
このコマンドでは、次のような出力が返されます。
certificates: createTime: '2021-09-06T10:01:56.229472109Z' hostname: example.com name: projects/my-project/locations/global/certificateMaps/myCertMap/certificateMapEntries/myCertMapEntry state: ACTIVE updateTime: '2021-09-06T10:01:58.277031787Z'
証明書マップをターゲット プロキシに添付する
構成した証明書マップを目的のターゲット プロキシに添付します。
gcloud
Google Cloud コンソールで、[ターゲット プロキシ] ページに移動します。
ターゲット プロキシの名前に注意します。
証明書プロキシをターゲット プロキシに添付します。
gcloud compute target-https-proxies update PROXY_NAME \
--certificate-map="CERTIFICATE_MAP_NAME" \
--global
次のように置き換えます。
PROXY_NAME: ターゲット プロキシの名前CERTIFICATE_MAP_NAME: 証明書マップエントリを参照する証明書マップの名前と、関連する証明書
Terraform
証明書マップをターゲット プロキシに添付するには、google_compute_target_https_proxy リソースを使用します。
既存の TLS(SSL)証明書がプロキシに直接添付されている場合、プロキシは、直接添付されている TLS(SSL)証明書よりも、証明書マップによって参照される証明書を優先します。
証明書をターゲット プロキシに直接添付する
証明書をプロキシに直接添付するには、次のコマンドを実行します。
gcloud compute target-https-proxies update PROXY_NAME \
--url-map=URL_MAP \
--global \
--certificate-manager-certificates=CERTIFICATE_NAME
以下を置き換えます。
PROXY_NAME: プロキシの一意の名前。URL_MAP: URL マップの名前。 ロードバランサの作成時に URL マップを作成しました。CERTIFICATE_NAME: 証明書の名前。
クリーンアップ
このチュートリアルで行った変更を元に戻すには、次の手順を行います。
プロキシから証明書マップを切断します。
証明書マップを切断する前に、次の点に注意してください。
- プロキシに直接 TLS(SSL)証明書が添付されていた場合、証明書マップを切断すると、プロキシは直接添付された TLS(SSL)証明書を使用して再開します。
- プロキシに直接 TLS(SSL)証明書が添付されていない場合、証明書マップをプロキシから切断することはできません。証明書マップを切断するには、まず少なくとも 1 つの TLS(SSL)証明書をプロキシに直接添付する必要があります。
証明書マップを切断するには、次のコマンドを実行します。
gcloud compute target-https-proxies update PROXY_NAME \ --clear-certificate-map
PROXY_NAMEは、ターゲット プロキシの名前に置き換えます。証明書マップから証明書マップエントリを削除します。
gcloud certificate-manager maps entries delete CERTIFICATE_MAP_ENTRY_NAME \ --map="CERTIFICATE_MAP_NAME"
次のように置き換えます。
CERTIFICATE_MAP_ENTRY_NAME: ターゲット証明書マップエントリの名前CERTIFICATE_MAP_NAME: ターゲット証明書マップの名前
証明書マップを削除します。
gcloud certificate-manager maps delete CERTIFICATE_MAP_NAME
CERTIFICATE_MAP_NAMEは、ターゲット証明書マップの名前に置き換えます。Google マネージド証明書を削除します。
gcloud certificate-manager certificates delete CERTIFICATE_NAME
CERTIFICATE_NAMEは、ターゲット証明書の名前に置き換えます。DNS 認証を削除します。
gcloud certificate-manager dns-authorizations delete AUTHORIZATION_NAME
AUTHORIZATION_NAMEは、ターゲット DNS 認証の名前に置き換えます。